Deep Dive: Hogyan hagyjuk figyelmen kívül az EUB döntéseit három lépésben. A Facebook transzfer hatásvizsgálatának magyarázata.
Az adatvédelmi geekek számára, akik többet szeretnének tudni annál, mint amit a 4. adventi olvasmányunkban összefoglaltunk, ezen az oldalon mélyebb merülést nyújtunk a Facebook "transzfer hatásvizsgálatának" (TIA) négy eleméről.
A mi megközelítésünk ezekhez a közzétételekhez. A költséges "SLAPP" perek elkerülése érdekében egyes elemek egyes joghatóságokban nem állnak rendelkezésre, ezért úgy döntöttünk, hogy a közvetlen közzététel helyett a dokumentumokat egy videóban foglaljuk össze. Ahol a dokumentum tartalma relevánsabb, ott részletesebben kifejtjük azt, és idézünk belőle elemeket. Dokumentumonként egy videó található. Az oldal alján olvashatja a részleteket arról, hogy miért használhatjuk jogszerűen a dokumentumot.
1. dokumentum: Vázlatos dokumentum
A vázlatdokumentum alapvetően a másik három, alább tárgyalt dokumentumra utal. A dokumentum 7 oldalas, és némileg érdekes, mivel úgy tűnik, hogy a többi dokumentum "összefoglalója", és áttekintést ad. A TIA legfontosabb része egyértelműen az "Egyenértékűségi értékelés", amelyben a Facebook teljes mértékben figyelmen kívül hagyja az EUB ítéleteit, és arra a következtetésre jut, hogy az uniós és az amerikai jog "egyenértékű". A másik két dokumentumot csak kiegészítő forrásként mutatja be. A "Factors Assessment" főként azt írja le, hogy az adatokat az USA-ba küldik, és hogy milyen adatokról van szó, valamint azt a tényt, hogy az amerikai kormány a FISA 702 alapján hozzáférhet az adatokhoz. A "Record of Safeguards" tartalmazza az állítólagos "kiegészítő intézkedéseket" is, még akkor is, ha egyetlen intézkedés sem foglalkozik egyértelműen az amerikai megfigyelési törvényekkel vagy az EUB ítéletével. Végső soron ez csak egy lista a szabványos ipari gyakorlatokról.
Összefoglalva, a Facebook megközelítésének gerince és egyetlen pillére az az érv, hogy az uniós és az amerikai jog "egyenértékű".
2. dokumentum: Az amerikai törvények egyenértékűségének értékelése
Az"Egyenértékűségi értékelés" ("EA") egy 58 oldalas dokumentum, amelyet a Facebook ügyvédi irodái, a Mason Hayes & Curran LLP és a Perkins Coie LLP kifejezetten jóváhagytak (az EA 1.4. bekezdése). A dokumentumot a Facebook saját szavaival lehet a legjobban összefoglalni (a vázlatos dokumentum 7. oldala):
Az eredmény eléréséhez a Facebook azzal érvel, hogy az EUB nem rendelkezett az összes releváns ténnyel a következtetés levonásához, annak ellenére, hogy a Facebook mintegy 45 000 oldalt nyújtott be az eljárás során. A Facebook továbbá azzal érvel, hogy az EUB csak az Európai Bizottság értékelését utasította el az "Adatvédelmi pajzsban", de nem foglalkozott részletesen a Facebook értékelésével. Ezért a Facebook véleménye szerint az EUB soha nem döntött volna a Facebooknak az SCC-k szerinti adattovábbításairól. Ez valójában nem helytálló, mivel az EUB az ítélet 168. pontjában kifejtette, hogy az ír legfelsőbb bíróság aggályaira és a Bizottság "Adatvédelmi pajzs"-jára támaszkodott. A Facebook és az Egyesült Államok kormánya jelentős beadványokat nyújtott be ezekben a kérdésekben az EUB előtt. Mindazonáltal az EUB egyértelműen megállapította, hogy az amerikai jog nem csak nem "egyenértékű", hanem sérti az Alapjogi Charta 7., 8. és 47. cikkét.
A Facebook tovább diszkontálja az uniós jogot azzal, hogy főként a strasbourgi Emberi Jogok Európai Bírósága (EJEB) (az Európa Tanács része, 47 tagállammal, köztük Törökországgal és Oroszországgal) által az Emberi Jogok Európai Egyezményének (EJEE) 6. és 8. cikke szerinti alacsony mércével hozott ítéleteket keveri össze az Európai Unió Bíróságának (EUB) ítéleteivel és az Európai Unió Alapjogi Chartája (CFR) szerinti sokkal magasabb mércével.
Az uniós joggal kapcsolatos megközelítéssel ellentétben a Facebook "felnagyítja" az amerikai jog szerinti védelmeket, amelyeket már számtalanszor felhozott az ír Legfelsőbb Bíróság és a Bíróság előtt a "Schrems II" perben. Ezeket mind elutasították. Ennek ellenére a Facebook ismét ezekre az elemekre támaszkodik, hogy arra a következtetésre jusson, hogy az amerikai jog védelmet nyújtana a nem amerikai személyeknek.
Az EUB-ítélet teljes elutasításának, az uniós jog figyelmen kívül hagyásának és az amerikai jog felnagyításának kombinációja valahogyan igazolja az illegális EU-USA adattovábbítást.
Dokumentum: Tényezők értékelése
A 7 oldalas"tényezőértékelésben" a Facebook nem igazán érvel amellett, hogy bizonyos tényezők valahogyan korlátozzák az EU-USA adattovábbítás hatását.
Ehelyett a bevezetőben elmagyarázza, hogy az "Egyenértékűségi értékelés" keretében a Facebook arra a következtetésre jut, hogy az uniós és az amerikai jog egyenértékű (ellentétben az EUB ítéleteivel). Ezért a Facebook szerint a tényezők értékelése inkább az EU-USA adattovábbításuk "eseti leírása", mint ténylegesen a felügyeletet korlátozó tényezők.
Azok a korlátozott tényezők, amelyek a Facebook szerint az uniós alapjogok kisebb mértékű sérelmére utalnak, például az amerikai kormányzati megkeresések száma a Facebook saját átláthatósági jelentése szerint. A többi "tényező" egyszerűen olyan tényeket ír le, mint például, hogy a címzett a Facebook Inc. vagy hogy a Facebook Inc. valóban kap FISA-kérelmeket az amerikai kormánytól (a "Factor Assessment" 7. oldala):
Nem világos, hogy ezek a "tényezők" hogyan segíthetnek abban, hogy egy átutalás legális legyen. Valójában úgy tűnik, hogy a Facebook nem igazán támaszkodik ezekre a "tényezőkre" annak igazolására, hogy az átadás jogszerű lenne, hanem inkább úgy tervezte meg a dokumentumot, hogy pusztán tényszerű leírás legyen. A fő érv továbbra is az, hogy az EUB téved, és az uniós és az amerikai jog valójában egyenértékű.
4. dokumentum: A védintézkedések nyilvántartása, beleértve a kiegészítő intézkedéseket is
Végül a Facebook létrehozott egy 14 oldalas dokumentumot, a"Record of Safeguards" címűt, amely főként egy hosszú táblázatot tartalmaz az "intézkedésekről", beleértve a "szervezeti intézkedéseket" és a "technikai intézkedéseket". Ezek valójában mind alapszintű irányelvek, amelyeket például a GDPR 32. cikke ír elő, mint például a "mobileszköz-kezelés" vagy a kormányzati megkeresésekre való reagálásra vonatkozó belső irányelvek.
Érdekes módon a Facebook csak 130 főt foglalkoztat, hogy globálisan minden kormányzati megkeresésre reagáljon. Ez azt jelentené, hogy egy jogi kérést átlagosan 10-15 percig ellenőriznek. A hamis kormányzati megkeresések elleni védekezésként a Facebook elsősorban azt emeli ki, hogy ellenőrzi, hogy az e-mail cím kormányzati domainnévről származik-e. Nem világos, hogy a Facebook ellenőrzi-e, hogy egy adott kormányzati szerv jogosult-e a fiókok tulajdonosainak személyes adatait követelni.Úgy tűnik, hogy a felsorolt intézkedések egyike sem kapcsolódik közvetlenül az amerikai megfigyelési törvényekhez.
Az egyetlen elem, amely megemlíti a FISA 702 és az EO 12. 333 kiemeli, hogy a Facebook ipari szabványos titkosítási algoritmusokat és protokollokat használa tranzit során, ezek a szabványok a TLS titkosítás (mint minden weboldal esetében szokásos) és az AES titkosítás (mint minden okostelefon esetében). A Facebook elismeri, hogy nem minden adat van titkosítva, mivel megemlíti, hogy csaknem az összes Facebook-forgalom TLS-titkosítású. Valójában nincs olyan intézkedés, amely bármilyen módon védelmet nyújtana a FISA 702 PRISM / DOWNSTREAM (tehát a megfigyelés közvetlenül a Facebooknál), hanem csak az "UPSTREAM" (tehát az internetes gerinchálózaton keresztül történő megfigyelés) elleni utasítással szemben. Mivel a Facebook birtokolja az összes titkosítási kulcsot, és minden adathoz tisztán hozzáférhet, a TLS és az AES semmiképpen sem jelent releváns védelmet:
A Facebook a dokumentumot "proaktív" intézkedésekkel zárja, például lobbizással és az amerikai törvények kidolgozásában való közreműködéssel, valamint azzal, hogy a GYIK-ben több információval szolgál a felhasználók számára.
Megkérdeztük Alan Butlert az epic.org-tól a "Record of Safeguards"-ról:
A közzététel jogalapja. Amint arra az első adventi olvasmányunkban rámutattunk, a négy noyb adventi olvasmány a DPC által egy folyamatban lévő eljárás során a noyb jogellenes eltávolítása ellen tiltakozik. Az összes dokumentumot Schrems úr 8,5 éve folyamatban lévő, az ír DPC előtt folyamatban lévő panaszeljárásán keresztül bocsátották rendelkezésre.
A Schrems úr ügyvédei által felvázolt és a DPC által elfogadott rendszer szerint Schrems úr szabadon felhasználhatja az eljárásból származó dokumentumokat, olyan esetekben, amikor a Facebooknak törvényes kötelessége ezeket a dokumentumokat rendelkezésre bocsátani, ami itt egyértelműen fennáll:
Az általános adatvédelmi rendelet 5. cikke (1) bekezdésének a) pontja előírja a Facebook számára az átláthatóságot. A 13. cikk (1) bekezdésének f) pontja előírja a Facebook számára, hogy tájékoztassa a felhasználókat arról, hogy hogyan szerezhetik be a nemzetközi továbbítást indokoló intézkedések másolatát, a GDPR 15. cikkének (2) bekezdése pedig kifejezetten biztosítja a másolathoz való jogot. Valójában a felhasználók nem tudják megtámadni az adattovábbítást, ha nem kapnak tájékoztatást a meglévő védintézkedésekről. Maguk az SCC-k is hasonló rendelkezéseket írnak elő, mivel a felhasználóknak jogot biztosítanak az SCC-k érvényesítésére (az SCC-k 3., 8.9. és 14. pontja). Úgy tűnik, hogy minden olyan vállalatnak, amely a Facebookot adatfeldolgozóként vagy közös adatkezelőként használja, szintén rendelkeznie kell a TIA-val.
Mindazonáltal a Facebook és az ír DPC álláspontja szerint a GDPR és az SCC-k nem teszik lehetővé, hogy a felhasználók megkapják a Facebook TIA-jának másolatát, hanem azok csak az illetékes felügyeleti hatóság (tehát ebben az esetben csak a DPC) számára állnak rendelkezésre.
A dokumentumok még csak nem is tartalmaznak kereskedelmi vagy technikai szempontból érzékeny információkat, és semmilyen vonatkozó jogszabály nem védi őket.
